Story Transcript
Pliego de Prescripciones Técnicas para la Contratación de los Servicios de Recogida, Almacén y Depósito de Soportes de Copias de Seguridad, Destrucción Confidencial de Papel y Soportes y Protección Continua de Datos para los Centros del Servicio Madrileño de Salud Consejería de Sanidad de la Comunidad de Madrid
Madrid, Febrero 2010
Índice
1.
OBJETO DEL CONTRATO ______________________________________ 3
2. PRINCIPALES OBJETIVOS DE LA CONTRATACIÓN DE LOS SERVICIOS _________________________________________________________ 4 3.
DESCRIPCIÓN DE LOS SERVICIOS _____________________________ 5
4.
ÁMBITO Y ALCANCE DE LOS SERVICIOS _______________________ 8
5.
DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS_______________ 10
6.
CALENDARIO DE EJECUCIÓN REQUERIDO ____________________ 11
7.
CONDICIONES GENERALES ___________________________________ 14
8. OFERTA TÉCNICA _______________________________________________ 21
2
1. OBJETO DEL CONTRATO
El Servicio Madrileño de Salud cubre todo el territorio de la Comunidad de Madrid y para ello cuenta con una importante distribución de sus sistemas de información entre sus centros. Debido al carácter y criticidad de los datos que manejan, estos sistemas de información exigen que sean adoptadas especiales medidas de seguridad, tales como la copia y salvaguarda (y restauración) de los citados datos de forma distribuida. La distribución de estas copias de seguridad en un extenso territorio, puede suponer un riesgo para asegurar una custodia eficaz y segura, por lo que el Servicio Madrileño de Salud entiende que es necesario y prioritario disponer de un servicio que unifique esta información cuya protección es de vital interés. Así nos aseguramos la realización de dichas copias y su almacenamiento seguro centralizado. El objeto del presente Pliego de Prescripciones Técnicas es definir las condiciones de contratación que cubra los siguientes aspectos: •
Servicio de Recogida, Almacén y Depósito de Soportes Informáticos con las Copias de Seguridad de los distintos Centros mencionados
•
Servicio de Destrucción Confidencial Certificada tanto de Soportes como de Papel, para dichos Centros
•
Servicio Complementario de Protección Continua de los Datos de Servidores, Portátiles y PC’s de diversas dependencias
3
2. PRINCIPALES OBJETIVOS DE LA CONTRATACIÓN DE LOS SERVICIOS Los objetivos que se persiguen con siguientes:
la contratación de estos Servicios son los
•
Avanzar en el cumplimiento de las medidas de seguridad aplicables a ficheros y tratamientos de datos de carácter personal del Servicio Madrileño de Salud, atendiendo, en particular, a lo establecido en los artículos 92, 101 y 102 del Reglamento (RD 1720/2007) de desarrollo de la Ley Orgánica de Protección de Datos, 15/1999, relativos a las copias de respaldo y la destrucción segura de soportes
•
Centralizar las copias de seguridad y procedimientos de recuperación asociados, preparando así a la Organización ante la eventualidad de situaciones relacionadas con catástrofes naturales, sustracción, etc.
•
Normalizar los procedimientos de seguridad relativos a copias de seguridad, soportes de datos y documentación para todo el Servicio Madrileño de Salud
•
Disponer, en los Centros principales, de contenedores seguros de papel y de soportes informáticos magneto-ópticos que garanticen su destrucción con los mayores niveles de confidencialidad
Los servicios a prestar por el adjudicatario deberán ofrecer las máximas garantías de seguridad y confidencialidad conforme a lo establecido en la Ley Orgánica de Protección de Datos 15/1999 y su reglamento de desarrollo, especialmente, durante los procesos de almacenaje, manipulado, transporte, entregas y recogidas, etc., aportando la empresa adjudicataria todos los mecanismos técnicos, organizativos y procedimentales que considere oportunos, más allá de los especificados en este Pliego.
4
3. DESCRIPCIÓN DE LOS SERVICIOS Las especificaciones técnicas que han de regir los Servicios objeto del presente Pliego son las siguientes: I.
Servicio de Recogida, Almacén y Depósito de Soportes Informáticos con las Copias de Seguridad: •
• • • • • • • •
Recogida de los soportes con copias de seguridad de los centros del Servicio Madrileño de Salud en contenedores con protección contra impactos, vibraciones, humedades accidentales, etc., que se puedan precintar por el personal del Servicio Madrileño de Salud, anónimos y codificados, y especiales para soportes informáticos Cada contenedor podrá albergar como mínimo de 1 a 6 soportes (cintas DLT, Super DLT, DAT, LTO o CD’s/DVD’s) Recogida en vehículos exclusivos y anónimos, con control de temperatura para la conservación adecuada de los soportes en tránsito, y con al menos dos operadores Seguimiento de las rutas de los vehículos vía GPS Entrega y recogida por personal autorizado y adecuadamente identificado Durante todo el proceso de recogida, entrega y transporte, los contenedores con soportes han de estar permanentemente custodiados Frecuencia del servicio: Semanal Servicio de Lunes a Viernes laborables en horario de 8:00 a 15:00, y en caso de coincidencia del día de servicio con festivo, se realizará el día laborable posterior Depósito, custodia y manipulación de los soportes informáticos en instalaciones de alta seguridad (Bunker), con las siguientes características mínimas: a) Construcción bunkerizada, con protección frente a seísmos medios, estanca al agua por anegación y con puerta de alta seguridad (doble llave), más puerta de reja para trabajo y a más de 12 km. de cualquiera de los Centros a los que se presta este Servicio b) Control medioambiental de temperatura y humedad c) Elementos de seguridad: • Conectada a Central de Alarmas • Control de acceso mediante doble lectura de password o huella dactilares • Detectores infrarrojos • CCTV (Circuito cerrado de televisión) • Contactos magnéticos en puertas
5
• • • • • • • II.
Depósito en instalaciones de alta seguridad (Bunker) de hasta 1.200 soportes Retención en las instalaciones de alta seguridad: 2 semanas Entrega en los centros a petición del Servicio Madrileño de Salud en un plazo inferior a 4 horas, ya que podrán requerirse aleatoriamente Servicios de Emergencia con Entrega Inmediata Disponibilidad de los soportes 24 horas al día, los 365 días del año
Servicio de Destrucción Confidencial Certificada de Soportes y Papel: • • • • • • • • •
III.
Barrera microondas Pulsadores anti-pánico Sistema de detección y extinción de incendios
Frecuencia del servicio: a) Trimestral, para la destrucción de papel b) Trimestral, para la destrucción de soportes Recogida en contenedores que se puedan precintar por el personal del Servicio Madrileño de Salud y diferenciados (papel y soportes) Entrega de un contenedor de 240 litros para la destrucción de papel y un contenedor de 70 litros para la destrucción de soportes por Centro Recogida en vehículos exclusivos y anónimos, con control de temperatura para la conservación adecuada de los soportes en tránsito, y con al menos dos operadores Seguimiento de las rutas de los vehículos vía GPS Entrega y recogida por personal autorizado y adecuadamente identificado Durante todo el proceso de recogida, entrega y transporte, los contenedores han de estar permanentemente custodiados Custodia en instalaciones de alta seguridad (Bunker) hasta su destrucción Por cada destrucción, se emitirá un Certificado de Destrucción Confidencial de todo el material destruido (papel y soportes), conforme a la LOPD y de acuerdo a la normativa medioambiental ISO 14001
Servicio Complementario de Protección Continua de los Datos de Servidores, Portátiles y PC’s de diversas dependencias: • •
• •
Solución de copia de seguridad transparente a los usuarios Solución que permita la “copia continua” de ficheros y otras estructuras de datos de los Servidores, Portátiles y PC’s en local, para la posible restauración inmediata de dichos datos, con réplica remota en otro centro como nivel de seguridad contra contingencias graves Solución escalable Cobertura de hasta 500 Puestos de Trabajo y 100 Servidores
6
• • • • • • • • • •
Funcionamiento tanto en LAN como en WAN con la misma tecnología Soporte de múltiples plataformas cliente (Windows, Linux, MAC) Facilidad y flexibilidad en la definición de las políticas de las copias de seguridad Control del ancho de banda dedicado a las copias de seguridad, para evitar colapsos en el medio de comunicaciones (LAN, WAN) Protección de los datos respaldados sobre plataformas hardware con sistemas RAID y posibilidad de replicación de dichos datos Que permita la compresión y encriptación de datos en la plataforma origen (AES 256 u otra) Clave de encriptación individual o global Monitorización del servicio Soporte presencial o remoto a los usuarios o CAU de usuarios Posibilidad de recuperación de los datos 24x7
Estos servicios se prestarán con estricto cumplimiento de la legislación vigente en materia de protección de datos. Los procedimientos estarán debidamente protocolizados y documentados, permitiendo la completa trazabilidad de las tareas realizadas, y dispondrán de un control de incidencias de cada uno de los servicios. El Servicio Madrileño de Salud se reserva la capacidad de establecer auditorias de los servicios contratados.
7
4. ÁMBITO Y ALCANCE DE LOS SERVICIOS Los Centros donde se prestarán los servicios descritos serán determinados por el Servicio Madrileño de Salud, al inicio de los trabajos objeto del presente contrato. No obstante, el número de centros donde se prestarán los servicios ascenderá a un mínimo de 34 Centros, correspondientes a los hospitales y centros de referencia, con instalaciones de tecnologías de información que hagan imprescindibles copias de seguridad. Todos los Centros se encuentran en el ámbito geográfico de la Comunidad de Madrid: 1. Empresa Pública Hospital de Fuenlabrada en Camino del Molino, 2, 28942 Fuenlabrada 2. Hospital Gral. Universitario "Gregorio Marañón" en C/Doctor. Esquerdo, 44-46 28007 Madrid 3. Hospital Carlos III en C/ Sinesio Delgado, 10 28029 Madrid 4. Hospital "Doce de Octubre"en Avenida de Córdoba, s/n, 28041 Madrid 5. Hospital de El Escorial en Ctra. de Guadarrama - San Lorenzo de El Escorial km. 6,255; 28200, San Lorenzo de El Escorial - Madrid 6. Hospital de la Fuenfría, en Ctra. de las Dehesas, s/n, 28470 Cercedilla - Madrid 7. Fundación Hospital de Alcorcón en C/ Budapest, 1; 28922, Alcorcón - Madrid 8. Hospital U. Clínico San Carlos en C/ Martín Lagos, s/n, 28040 Madrid 9. Hospital Central de la Cruz Roja en Avenida de Reina Victoria, 22; 28003 Madrid 10. Hospital U. Príncipe de Asturias en Ctra. Alcalá Meco, s/n 28805; Alcalá de Henares - Madrid 11. Hospital U. de Getafe en Ctra. de Toledo, Km. 12,500 28905; Getafe Madrid 12. Hospital La Paz en Paseo de la Castellana, 261; 28046, Madrid 13. Hospital de La Princesa Diego de León, 62; 28006, Madrid 14. Hospital de Móstoles C/ Río Jucar, s/n c/v C/ Río Tormes; 28935, Móstoles - Madrid 15. Hospital Niño Jesús Avenida Menéndez Pelayo, 65; 28009, Madrid 16. Hospital Puerta del Hierro en C/ Manuel de Falla, 1; 28222, Majadahonda Madrid 17. Hospital Ramón y Cajal en Ctra. Colmenar Viejo, km. 9,100; 28034 Madrid 18. Hospital Santa Cristina en C/ Maestro Vives, 2; 28009 Madrid 19. Hospital Severo Ochoa en C/ Avenida de Orellana, s/n; 28911, Leganés Madrid 20. Hospital Virgen de la Torre en C/ Puerto Lumbreras, 5; 28031, Madrid 21. Hospital de Arganda (Sureste) en Ronda del Sur, 10; 28500, Arganda del Rey Madrid 22. Hospital de Coslada (Henares) en Avenida de Marie Curie s/n; 28822, Coslada - Madrid 23. Hospital de Aranjuez (Tajo) en Avenida Amazonas Central, s/n; 28300 Aranjuez - Madrid 24. Hospital Infanta Cristina en Avenida 9 de Junio, 2; 28981, Parla
8
25. Hospital Infanta Leonor en Gran Vía del Este, 80; 28031, Madrid 26. Hospital Infanta Elena en Avenida Reyes Católicos, 21; 28342, Valdemoro Madrid 27. Hospital Infanta Sofía en el Paseo de Europa, 34; 28702, San Sebastián de los Reyes - Madrid 28. Hospital Doctor Rodríguez Labora en Ctra. De Colmenar Viejo, km 13,8 28049, Madrid. 29. Hospital de Guadarrama en Paseo Molino del Rey, 2; 28440, Guadarrama Madrid 30. Hospital Virgen de la Poveda en Ctra. Del Hospital s/n; 28630, Villa del Prado Madrid 31. Hospital Fundación Jiménez Díaz en Avenida Reyes Católicos, 2; 28040, Madrid 32. Instituto Psiquiátrico Servicios de Salud Mental José Germain en C/ Luna, nº 1; 28911, Leganés – Madrid 33. Sede central en C/ Aduana, nº 24 Madrid. 34. Sede central en C/ Julián Camarillo, nº 4-B. Madrid. El anterior listado podrán ser modificado en algunas direcciones si durante la vida del proyecto, se modificarán los alojamientos de los centros de procesos de datos asociados a cada centro, siempre dentro del ámbito geográfico de la Comunidad de Madrid.
9
5. DIRECCIÓN Y SEGUIMIENTO DE LOS TRABAJOS 6.1.
Evaluación del servicio prestado
La Dirección General de Sistemas de Información Sanitaria, en adelante DGSIS, realizará de manera continuada la dirección, seguimiento y evaluación de los servicios contratados, sin perjuicio de las labores de coordinación, control, y aseguramiento que sobre el proceso global corresponden al adjudicatario. La empresa adjudicataria, encargada de prestar los servicios descritos en el pliego, estarán bajo la Dirección de la DGSIS o quien ésta determine, los cuales evaluarán el cumplimiento y calidad de los trabajos realizados y marcarán las prioridades en base a las necesidades de la DGSIS. La empresa adjudicataria del procedimiento abierto responderá de la correcta realización de los trabajos contratados y de los defectos que en ellos hubiere o que se pudieran derivar. La DGSIS podrá rechazar en todo o en parte los trabajos realizados, en la medida que no respondan a los especificados en los objetivos de la planificación o no superasen los niveles de calidad acordados. Independientemente de las actas de reuniones o informes de seguimiento que se soliciten por la DGSIS en cualquier momento, el seguimiento del servicio se realizará mediante un conjunto de indicadores estructurados en un cuadro de mando que será provisionado por el adjudicatario (a menos que la DGSIS indique lo contrario), consolidando la información de seguridad proporcionada desde los distintos proyectos y ámbitos de actuación. Como resultado de la realización de estas actividades, los sistemas de información de la DGSIS deberán mantener el nivel de seguridad acorde a los requisitos establecidos en el marco jurídico y en la normativa que le aplica.
10
6. CALENDARIO DE EJECUCIÓN REQUERIDO 6.1. Plazo de ejecución y horario del servicio La prestación de los servicios se realizará durante un periodo de 1 año y considerando un horario habitual de prestación de servicios en modalidad 8x5. No obstante, el licitador tendrá en consideración la posibilidad de actuaciones fuera de horario que deberán estar cubiertas. La composición básica del equipo debe tener flexibilidad, de forma que ante determinadas circunstancias, la DGSIS pueda modificar el programa de trabajo y requerir un mayor número de personas asignadas al proyecto. 6.2.
Planificación
Los trabajos se desarrollarán en las fases siguientes: FASE I, periodo de transición: los primeros 30 días desde el inicio de los trabajos. Constitución del equipo de trabajo, identificación de las tareas inmediatas a realizar y suministro por parte del Director de Proyecto de la DGSIS de toda la información relativa para establecer el marco de trabajo. En este periodo en adjudicatario deberá tomar el total control del servicio. FASE II, periodo de ejecución estable: desde el final de la Fase 1 al mes previo a la finalización del contrato. Funcionamiento a pleno rendimiento del equipo de trabajo completamente integrado con la estructura organizativa del SERMAS. FASE III, un mes antes de la finalización del contrato: preparación de la transferencia de conocimiento y actividades para la renovación de los servicios: relación de actividades cerradas y en curso. En la primera quincena de cada mes se presentará a la DGSIS la consolidación de los indicadores correspondientes al mes previo y las recomendaciones para el siguiente período derivadas de los niveles alcanzados. 6.3.
Dirección y seguimiento de los trabajos
Corresponde a la DGSIS-SERMAS dirigir y supervisar los trabajos y velar por el cumplimiento de los niveles de servicio acordados. En este sentido, la DGSISSERMAS nombrará un Director de Proyecto cuyas funciones principales en relación con el objeto del presente pliego serán las siguientes: • Velar por el cumplimiento y el nivel de calidad de los trabajos. • Planificar y priorizar las actividades del equipo prestador del servicio. • Supervisar y validar la ejecución de las actividades a realizar. • Dar conformidad a los resultados finales del servicio.
11
Es potestad del Director del Proyecto exigir en cualquier momento la adopción de cuantas medidas concretas y eficaces sean necesarias en relación con la prestación del servicio, si a su juicio, la calidad o efectividad del mismo se pone en peligro ante cualquier circunstancia. El licitador designará un Responsable de Proyecto ante la DGSIS, al margen del equipo estable, y perteneciente al equipo directivo de su organización. Este Responsable se encontrará en permanente contacto con el personal de la DGSISSERMAS designado por ésta y realizará, entre otras, las siguientes tareas: • Coordinar el apoyo técnico y supervisar el servicio a prestar e informar al Director del Proyecto de la DGSIS-SERMAS de las posibles incidencias y seguimiento o desviaciones de plazos. • Mensualmente remitir a la DGSIS-SERMAS un informe detallado que permita constatar el cumplimiento de la calidad del servicio prestado, sin menoscabo de que la misma pueda realizar aquellas actuaciones que considere oportuno para contrastar la veracidad de los datos aportados. • Mensualmente, como mínimo, mantener con DGSIS-SERMAS una reunión de seguimiento del servicio prestado en el mes previo y validación de la propuesta para el mes siguiente a la misma. 6.4.
Modificaciones en el equipo de trabajo
Toda nueva incorporación al equipo prestador de los servicios deberá reunir los requisitos mínimos, en cuanto a titulación y conocimientos técnicos necesarios establecidos en el presente Pliego, según perfiles. Excepcionalmente, la CSCM tendrá la potestad de exigir, cuando existan razones suficientemente motivadas que afecten al normal desarrollo de la prestación del servicio, el cambio de cualquiera de los componentes del equipo prestador de los servicios del adjudicatario. Este cambio se solicitará por el Director de Proyecto que haya designado la CSCM, a través de las reuniones de Seguimiento, garantizando al adjudicatario un preaviso de 15 días laborables, para que pueda proceder a la sustitución de dicho componente. Si el contratista propusiera el cambio de cualquiera de los miembros del equipo prestador del servicio, se deberá comunicar por escrito a la CSCM con 15 días laborables de antelación, comunicando: • Justificación escrita, detallada y suficiente, explicando el motivo que suscita el cambio. • Presentación del candidato con perfil y cualificación técnica igual o superior al de la persona que se pretende sustituir.
12
En el supuesto de que se produzcan estas modificaciones en los equipos, se requerirá un solapamiento del personal durante un periodo mínimo de 10 días laborables. Durante todo el plazo de ejecución, el adjudicatario deberá mantener los niveles de calidad del servicio objeto del contrato, por lo que deberá instrumentar los servicios de suplencia que estime oportunos, que serán cubiertos, a ser posible, con el mismo personal suplente, a los efectos de ocasionar el mínimo impacto en la prestación del servicio. El adjudicatario deberá garantizar que dispone de los mecanismos adecuados para minimizar la rotación no planificada del personal, para evitar la pérdida no controlada de conocimiento, y el impacto en los niveles de servicio, imagen, dedicación adicional de la CSCM, etc., que esto suele llevar asociado. Por rotación planificada se entiende aquella que se comunica a la CSCM como mínimo 15 días laborables antes de que se produzca, y se acompaña de un solapamiento del recurso saliente con el entrante para la adecuada transferencia de conocimiento durante un periodo no inferior a 10 días laborables.
13
7. CONDICIONES GENERALES 7.1.
Propiedad de los trabajos
Todos los documentos, productos y demás entregables resultantes de la ejecución del presente contrato serán propiedad de la DGSIS, quien podrá reproducirlos, publicarlos y divulgarlos, total o parcialmente, sin que pueda oponerse a ello el adjudicatario autor material de los trabajos. El adjudicatario renuncia expresamente a cualquier derecho que sobre los trabajos realizados como consecuencia de la ejecución del presente contrato pudiera corresponderle, y no podrá hacer ningún uso o divulgación de los estudios y documentos utilizados o elaborados en base a este Pliego de Condiciones, bien sea en forma total o parcial, directa o extractada, original o reproducida, sin autorización expresa de la DGSIS. 7.2.
Certificaciones
Al objeto de justificar la conformidad del licitador con normas de garantía de calidad de que disponga, se aportarán los certificados de garantía de calidad basados en la serie de normas internacionales ISO 9000, europeas EN 29000 o españolas UNE 66900 y expedidos por organismos conformes con la serie de normas europeas EN 45000. Igualmente, se tendrán en cuenta certificados de calidad equivalentes expedidos por otros organismos de normalización establecidos en cualquier Estado Miembro de la Unión Europea. En defecto de los certificados anteriores el licitador aportará pruebas de medida equivalentes de control de calidad. Asimismo y dado el ámbito de seguridad de la información de los trabajos a realizar se aportará Certificación del Sistema de Gestión de la Seguridad de la Información de la empresa según UNE 71502 o norma equivalente. 7.3.
Calidad de los trabajos
Los estándares de calidad de servicio a prestar serán evaluados mensualmente, al menos a través de los indicadores reflejados en el apartado 1.4. No obstante lo anterior, durante el desarrollo de los trabajos, la DGSIS-SERMAS podrá establecer controles de calidad y acciones de aseguramiento de la calidad de la actividad desarrollada. En cualquier caso, el adjudicatario deberá proponer las mejoras de calidad que estime oportunas para optimizar la actividad desarrollada durante el tiempo de ejecución del presente contrato. 7.4.
Normativa de seguridad y protección de datos
El adjudicatario se compromete a cumplir las medidas y requisitos de seguridad exigidos por la CSCM. El coste de las actuaciones de cualquier tipo, incluidas las
14
auditorias, derivadas del cumplimiento de la LOPD y normativa relacionada, serán por cuenta del adjudicatario. En el caso de que el contratista, en el ejercicio de la prestación del servicio, tuviera que manejar ficheros con datos de carácter personal en el marco del objeto del presente contrato, cumplirá con la legislación vigente en materia de protección de datos de carácter personal conforme a lo dispuesto en las leyes y decretos que resulten de aplicación, entre ellos los que se relacionan a continuación: • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD). • Ley 8/2001, de 13 de julio, de Protección de Datos de Carácter Personal en la Comunidad de Madrid • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (RDLOPD). • Orden 1943/2005, del Consejero de Sanidad, por la que se aprueba el Código de Buenas Prácticas para usuarios de sistemas informáticos, así como otras normativas y estándares que en materia de seguridad sean adoptados por la Consejería. • Y las disposiciones de desarrollo de las normas anteriores o cualesquiera otras aplicables en materia de Protección de Datos que se encuentren en vigor a la adjudicación de este contrato o que puedan estarlo durante su vigencia. 7.5.
Encargado de tratamiento
El adjudicatario, en la medida en que necesite acceder a datos de carácter personal bajo titularidad de la CSCM o de los órganos, entidades, gerencias, centros, direcciones, organismos o entes adscritos a la citada Consejería por razón de la prestación del servicio objeto del contrato, asumirá la figura de encargado de tratamiento prevista en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Por lo tanto, el acceso y tratamiento de los citados datos de carácter personal por parte del contratista se entenderá siempre subsumido dentro de la categoría de acceso a datos por terceros del artículo 12 de la citada Ley Orgánica 15/1999, y no como una cesión o comunicación de datos a terceros a los efectos previstos en la Ley Orgánica. Las obligaciones derivadas de ésta responsabilidad asumida por el adjudicatario, serán recogidas en un documento específico que será firmado por el adjudicatario de forma previa al inicio de los trabajos. Por consiguiente las Direcciones, organismos, entidades o entes de derecho público de la CSCM ostentarán, en cualquier caso, y con respecto a los datos objeto de acceso o tratamiento, la condición de Responsable del Fichero o del tratamiento.
15
Al objeto de dar cumplimiento a lo previsto en el art. 12 de la citada Ley Orgánica 15/1999, las cláusulas que se incluyen a continuación regularán el posible uso y tratamiento de datos de carácter personal por parte del encargado de tratamiento y por cuenta de la CSCM. 7.6.
Limitación del acceso o tratamiento.
El adjudicatario limitará el acceso o tratamiento de datos de carácter personal pertenecientes a los ficheros bajo titularidad de cualquiera de las Direcciones, organismos, entidades o entes de derecho público de la CSCM, limitándose a realizar el citado acceso o tratamiento cuando se requiera imprescindiblemente para la prestación del servicio y/o de las obligaciones contraídas, y en todo caso limitándose a los datos que resulten estrictamente necesarios. 7.7.
Medidas de seguridad.
No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por el R.D. 1720/2007 respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. A los efectos de la prestación del servicio por parte del adjudicatario, éste quedará obligado, con carácter general, por el deber de confidencialidad y seguridad de los datos de carácter personal. Y con carácter específico, en todas aquellas previsiones que estén contempladas en las actividades que formen parte del servicio adjudicado, se encontrará sujeto por las siguientes disposiciones, que concretan, de conformidad con el artículo 9 de la LOPD, los requisitos y condiciones que deberán reunir los ficheros y personas que participen en el tratamiento de los datos de carácter personal. • Los licitador/es aportarán una memoria descriptiva de las medidas que adoptarán para asegurar la confidencialidad, disponibilidad e integridad de los datos manejados y de la documentación facilitada. • La empresa adjudicataria y el personal encargado de la realización de las tareas guardará secreto profesional sobre todas las informaciones, documentos y asuntos a los que tenga acceso o conocimiento durante la vigencia del contrato, estando obligado a no hacer públicos o enajenar cuantos datos conozcan como consecuencia o con ocasión de su ejecución, incluso después de finalizar el plazo contractual. • El adjudicatario, mediante la suscripción del contrato de adjudicación, asumirá el cumplimiento de lo previsto en las presentes cláusulas, que de conformidad con el artículo 12 de la Ley Orgánica 15/1999 regulan su acceso como encargado del tratamiento de los ficheros de datos de carácter personal. • El adjudicatario realizará, un estudio previo de los datos de carácter personal a tratar, identificando su naturaleza y las medidas de seguridad que requieran de conformidad con lo establecido en el RD 1720/2007, de 11 de junio. • El diseño y desarrollo de los sistemas de información que traten datos de carácter personal facilitará operativamente, que estos sean cancelados cuando
16
hayan dejado de ser necesarios o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. Igualmente, estos tratamientos almacenarán los datos de carácter personal de forma que permitan el ejercicio del derecho de acceso, rectificación, cancelación u oposición, siendo responsabilidad del adjudicatario habilitar mecanismos y procedimientos que faciliten el ejercicio de estos derechos. • La documentación se entregará al adjudicatario para el exclusivo fin de la realización de las tareas objeto de este contrato, quedando prohibido para el adjudicatario y para el personal encargado de su realización, su reproducción por cualquier medio y la cesión total o parcial a cualquier persona física o jurídica. Lo anterior se extiende asimismo al producto de dichas tareas. • Igualmente, estos diseños o desarrollos de software deberán, observar con carácter general, la normativa de seguridad de la información y de protección de datos de la Comunidad de Madrid y: - En todo caso observarán los requerimientos relativos a la identificación y autenticación de usuarios, estableciendo un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado, limitando la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. - Para los ficheros de protección de nivel alto el adjudicatario creará los correspondientes registros de accesos a los sistemas de información (trazabilidad) que traten datos de carácter personal y el cifrado de las comunicaciones, así como los mecanismos técnicos que permitan obtener fácilmente información de auditoria a partir de dichos registros. - En ningún caso el equipo prestador del servicio objeto del contrato tendrá acceso ni realizará tratamiento de datos de carácter personal contenidos o soportados en los equipos o recursos mantenidos. - El adjudicatario, a la finalización del contrato, emitirá un informe en el que indicará el tipo de datos de carácter personal tratados, el nivel protección exigible a los ficheros creados y las medidas de seguridad implementadas en cada caso. • El contratista utilizará los datos de carácter personal única y exclusivamente, en el marco y para las finalidades determinadas en el objeto del servicio adjudicado y del presente documento, y bajo las instrucciones del Responsable del fichero, y de la Dirección General de Sistemas de Información Sanitaria del Servicio Madrileño de Salud, perteneciente a la CSCM, para aquellos aspectos relacionados con sus competencias. • El contratista adoptará, en todas aquellas previsiones que estén contempladas en las actividades que formen parte del servicio adjudicado, las medidas de índole técnica y organizativa establecidas en el artículo 9 de la LOPD, que garanticen la seguridad de los datos de carácter personal, y que eviten su alteración, pérdida o tratamiento no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. • El contratista adoptará, en todo caso, cuando se traten datos especialmente protegidos, de las medidas de seguridad correspondientes al nivel de seguridad
17
alto del Título VIII de medidas de seguridad del RD 1720/2007, de conformidad con el artículo 81 de dicho Reglamento, y en particular de las detalladas en los artículos 103 (registro de accesos) y 104 (telecomunicaciones). • El contratista no comunicará los datos accedidos o tratados a terceros, ni siquiera para su conservación. • Se prohíbe el tratamiento de datos por terceras entidades que se encuentren en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se obtenga la preceptiva autorización de la Agencia Española de Protección de Datos para transferencias internacionales de datos, de conformidad con los artículos 33 y 34 de la LOPD. • El contratista comunicará y hará cumplir a sus empleados, y a cualquier persona con acceso a los datos de carácter personal, las obligaciones establecidas en los apartados anteriores, especialmente las relativas al deber de secreto y medidas de seguridad. • El contratista no podrá realizar copias, volcados o cualesquiera otras operaciones de conservación de datos, con finalidades distintas de las establecidas en el servicio adjudicado, sobre los datos de carácter personal a los que pueda tener acceso en su condición de encargado de tratamiento, salvo autorización expresa del Responsable del Fichero o de la Dirección General de Sistemas de Información Sanitaria del Servicio Madrileño de Salud. En este supuesto, deberá destruir o devolver los datos accedidos, al igual que cualquier resultado del tratamiento realizado, y cualquier soporte o documento en el que se hallen, por los medios que se determinen, según cualesquiera instrucción del responsable del Fichero a la finalización de la prestación del servicio o cuando las datos dejen de ser pertinentes para la finalidad o tratamiento. Los sistemas de información del adjudicatario deberán proporcionar mecanismos que permitan la extracción de datos de forma disociada, conforme a lo contemplado en esta materia en el RD 1720/2007, sea requerido. De conformidad con el art. 22 del RDLOPD, no procederá la destrucción de los datos cuando exista una previsión legal que exija su conservación, en cuyo caso deberá procederse a la devolución de los mismos garantizando la CSCM dicha conservación. El contratista conservará, debidamente bloqueados, los datos en tanto pudieran derivarse responsabilidades de su relación con la CSCM. • El contratista comunicará al Responsable del fichero y a la Dirección General de Sistemas de Información Sanitaria del Servicio Madrileño de Salud, para aquellos aspectos relacionados con sus competencias, de forma inmediata, cualquier incidencia en los sistemas de tratamiento y gestión de la información que haya tenido o pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal, o la puesta en conocimiento por parte de terceros no autorizados de información confidencial obtenida durante la prestación del servicio. • El contratista estará sujeto a las mismas condiciones y obligaciones descritas previamente en el presente documento, con respecto al acceso y tratamiento de cualesquiera documentos, datos, normas y procedimientos pertenecientes a la Consejería de Sanidad a los que pueda tener acceso en el transcurso de la prestación del servicio.
18
7.8.
Personal prestador del servicio.
Quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal quedarán obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar la relación contractual, así como a la renuncia expresa de los derechos de propiedad intelectual que les pudiera corresponder y compromiso del cumplimiento de las obligaciones de protección de datos de carácter personal. El contratista se compromete a formar e informar a su personal en las obligaciones que de tales normas dimanan, para lo cual programará las acciones formativas necesarias. El personal prestador del servicio objeto del contrato tendrá acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. 7.9.
Cesión o comunicación de datos a terceros.
Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo del titular del dato y el conocimiento de la Comunidad de Madrid, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en la Ley Orgánica 15/1999 y en el RD 1720/2007. El Contratista tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con un fin distinto al que figure en el objeto del contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos a la Comunidad de Madrid, al igual que cualquier soporte o documentos utilizados. 7.10.
Responsabilidad en caso de Incumplimiento
En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otra exigible por la normativa, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, de conformidad con el artículo 12.4 de la LOPD, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 43 al 49 de la LOPD. 7.11.
Cesión del contrato
19
El Adjudicatario no podrá ceder total o parcialmente, los derechos y obligaciones que se deriven del contrato sin autorización expresa escrita de la DGSIS, que fijará las condiciones de la misma, no autorizándose la cesión de los contratos a favor de empresas incursas en causa de inhabilitación para contratar.
20
8. OFERTA TÉCNICA Con carácter general, la información presentada en la Oferta Técnica debe estar estructurada de forma clara y concisa. La propuesta no debe contener referencias a documentos externos o anexos no incluidos, cuando éstos sean puntos clave en la valoración de la propuesta. Con independencia de que el licitador pueda adjuntar a la Oferta Técnica cuanta información complementaria considere de interés, ésta deberá estar obligatoriamente estructurada con el formato normalizado que se detalla más adelante en este apartado. La documentación complementaria que se adjunte se debe entender como documentos generales de consulta o méritos del oferente, no como información vital en la propuesta. La propuesta se deberá entregar en sobre cerrado incluyendo un juego en formato papel y un juego en formato digital (Word o pdf). El contenido de toda la documentación incluida o adjunta a la Oferta formará parte de los compromisos contractuales y, consecuentemente, de las obligaciones como contratista, en caso de resultar adjudicatarios. El Servicio Madrileño de Salud se reserva el derecho a exigir a los licitadores que presenten documentación que acredite la veracidad de la información presentada en la Oferta, o bien información adicional sobre el contenido de la misma, estando el licitador obligado a ello. El Servicio Madrileño de Salud se reserva el derecho de verificar que los licitadores cumplen con los requerimientos del presente Pliego por medio de visitas a las dependencias del licitador y la comprobación in situ de las condiciones del centro de almacenaje, condiciones de seguridad y de los medios de transporte, así como verificar por los medios que sean necesarios, la viabilidad de los servicios de valor añadido que ofrezcan en sus ofertas. El Servicio Madrileño de Salud podrá requerir a los licitadores que formulen por escrito las aclaraciones necesarias para la comprensión de algún aspecto de las ofertas. En ningún caso se admitirá que el licitador varíe en su aclaración los términos expresados en su oferta. Sólo puede ser considerada la información que facilite el análisis de la solución propuesta inicialmente. La presentación de propuestas deberá cumplir con los requisitos establecidos en los Pliegos de Cláusulas Administrativas. Adicionalmente la Oferta Técnica y la Oferta Económica deberán incluir la información y estructura que se detallan a continuación. En la memoria técnica de la oferta se describirán las tareas a desarrollar, en términos ajustados al presente pliego, recursos materiales disponibles para la ejecución del contrato, prestaciones superiores a las solicitadas y cualquier otra circunstancia que incida en la ejecución de los trabajos.
21
La memoria contendrá una planificación temporal pormenorizada de todas las tareas, así como la composición de los equipos de trabajos que se oferten. Las ofertas se centrarán en los aspectos concretos de las necesidades aquí descritas, no resultando adecuado ni valorable la inclusión de otra información que no esté directamente relacionada funcional o tecnológicamente con este expediente, ni que, por ser genérica, no se encuentre específicamente adaptada a él. No se considera adecuada ninguna oferta con una extensión superior a las 60 páginas incluyendo todos los apartados del índice propuesto. Deberán incluir toda la información escrita, más la que opcional y complementariamente deseen añadir, en un soporte electrónico (CD, DVD u otro soporte o mecanismo de acceso) con ficheros grabados en los formatos de ofimática habituales. Para cualquier duda durante la redacción de las propuestas, en relación con el contenido de este Pliego Técnico pueden poderse en contacto con la Subdirección General de Planificación, Arquitectura e Innovación tecnológica. Todas las dudas, serán atendidas por escrito mediante el procedimiento que se considere oportuno. Madrid a 27de marzo de 2010 SUBDIRECTOR DE PLANIFICACIÓN, ARQUITECTURA E INNOVACIÓN TECNOLÓGICA
Fdo.: Pedro Jesús Pastor Muñoz
22